מכרזים

החשיבות של אסטרטגיית ענן

מדוע ארגונים זקוקים לאסטרטגיית ענן ומה היתרונות שלה?

במאמר זה נעסוק בסיבות לכתיבת אסטרטגיית ענן ארגונית, מה אמור לכלול מסמך שכזה וכיצד אסטרטגיית ענן תסייע לארגונים לנהל את הסיכונים ולקדם מטרות עסקיות לטובת שימוש בטוח ונבון בשירותי ענן.

הגדרות

מסמך אסטרטגיית ענן אמור לכלול הגדרה ברורה של מה נחשב שירות ענן, עפ"י ההגדרה המקובלת של NIST:

שירות עצמי, עפ"י דרישה (On-demand self-service)
היכולת להקים שרתים או לצרוך שירותים בצורה עצמאית וללא סיוע של ספק הענן

תקשורת בחיבור מהיר (Broad network access)
היכולת להתחבר לשירותים מכל מקום בעולם (ללא צורך ב-VPN)

שיתוף משאבים (Resource pooling)
היכולת לשתף משאבי מחשוב (שרתים, וירטואליזציה, מערכי אחסון ושירותי תקשורת) עבור מספר לקוחות

גמישות במשאבים (Rapid elasticity)
היכולת להגדיל או להקטין את משאבי המחשוב עפ"י דרישה ובצורה אוטומטית

מדידת שירותים (Measured service)
היכולת לבצע מדידת כמות המשאבים אשר בשימוש ע"י הלקוח לטובת דוחות חיוב

מסמך אסטרטגיית ענן אמור לכלול הסבר מה אינו נחשב שירות ענן:
שירותי אירוח הניתנים ללקוחות ע"י ספקי שירותי חומרה (שירותי Hosting, שירותי Virtual Private Servers וכו')

צורך עסקי

תפקידו של מסמך אסטרטגיית ענן להדריך את הארגון בשלבים השונים של מעבר לשימוש בשירותי ענן, תוך איזון התועלת לארגון מצד אחד וניהול סיכונים נאות מהצד שני.

בהיעדר אסטרטגיית ענן, גופים שונים בתוך הארגון יכלו לצרוך שירותי ענן מסיבות דוגמת העלאת היעילות, אך ללא מדיניות רשמית כיצד לאמץ שירותי ענן בצורה נכונה, ייווצרו בארגון מחלקות IT נפרדות (מה שידוע גם כ-Shadow IT), ללא כל בקרה תקציבית ותוך העלאת סיכוני אבטחת המידע לארגון בשל היעדר הכוונה.

מסמך אסטרטגיית ענן אמור לכלול התייחסות לנושאים הבאים:

– התועלת לארגון בעקבות שימוש בשירותי ענן
– הגדרת אילו שירותים יישארו בסביבת ה-on premise ואילו שירותים ניתן לצרוך כשירותי ענן
– הגדרת התהליך הנדרש עבור כלל המחלקות והחטיבות בארגון לאישור שימוש בשירות ענן
– הגדרת הסיכונים לארגון בעקבות שימוש בשירותי ענן אשר לא אושרו ע"י הארגון
– הגדרת הבקרות הנדרשות על-מנת לצמצם את הסיכונים הנובעים משימוש בשירותי ענן (היבטי אבטחת מידע ופרטיות, ניהול עלויות שימוש, זמינות משאבים ועוד)
– תיאור מצב קיים (מבחינת שימוש בשירותי ענן)
– תיאור מצב רצוי (לאן הולך הארגון מבחינת שימוש בשירותי ענן בשנים הקרובות)
– אסטרטגיית יציאה

תועלות לארגון

מסמך אסטרטגיית ענן אמור לכלול תועלות אפשריות משימוש בשירותי ענן, דוגמת:

חסכון בעלויות
מעבר למודל תשלום (גמיש) עבור שימוש בפועל (On demand)

אבטחת מידע
– מעבר לשימוש בשירותי ענן, מעביר את נטל האבטחה הפיזית על ספקי הענן
– שימוש בתשתיות ענן מאפשר הגנה טובה יותר מפני מתקפות מניעת שירות (Denial of Service)
– שימוש בתשתיות ענן מאשר גישה לשירותי אבטחה מנוהלים (דוגמת ניטור אירועי אבטחה, זיהוי ניסיונות פריצה, זיהוי אנומליה בהתנהגות משתמשים ועוד), אשר זמינים כחלק מסל השירותים של ספקי הענן המובילים

המשכיות עסקית והתאוששות מאסון
תשתיות ענן עשויות להוות חלופה לנושא הקמת אתר DR

גמישות טכנולוגית
שימוש בתשתיות ענן מאפשר להגדיל (Scale out) ולהקטין (Scale in) את כמות המשאבים של יישומים (משרתי Web ועד Database clusters) בהתאם לעומסים

אישור השימוש בשירותי ענן

על-מנת למסד את נושא השימוש בשירותי ענן עבור כלל הגופים בארגון, מסמך האסטרטגיה אמור להגדיר את תהליך האישורים הנדרש על-מנת להשתמש בשירותי ענן (בהתאם לגודל ורמת הבשלות של הארגון)

– סמנכ"ל המחשוב / CTO / מנהל התשתיות
– יועץ משפטי / ממונה הגנת הפרטיות (DPO) / מחלקת ניהול סיכונים
– מחלקת הרכש / כספים

ניהול סיכונים

מסמך אסטרטגיית ענן אמור להכיל פרק אשר יעסוק במיפוי הסיכונים שהארגון ביצע, כחלק ממעבר לשימוש בשירותי ענן, דוגמת:

היעדר בקרה תקציבית
היכולת של כל גורם או חטיבה בארגון, להזין פרטי אשראי, לפתוח חשבון אצל ספק שירותי ענן ולהתחיל לצרוך משאבים, ללא כל בקרה של גורם האמון על הנושא הכספי בארגון

עמידה ברגולציה והיבטי פרטיות
שימוש בשירותי ענן המאחסנים נתונים פרטיים אודות בני אדם, ללא בקרה של גורם האמון על היבטי פרטיות, חושף את הארגון לסכנת פריצה למאגרי מידע והפרת חוקי פרטיות

היבטי אבטחת מידע
שימוש בשירותי ענן החשופים לגישת לקוחות מכיוון האינטרנט, חושף את הארגון לסכנת פריצה, שיבוש נתונים, מחיקה, זמינות שירותים, נזק מוניטין ועוד

מחסור בידע
שימוש בשירותי ענן מחייב הכשרת אנשי תשתיות, אנשי פיתוח, תמיכה ואנשי אבטחת מידע, בכל הנוגע לשימוש ואבטחת תשתיות ושירותי ענן

בקרות לטובת צמצום הסיכון בעת שימוש בשירותי ענן

הפתרון הטוב ביותר לצמצום הסיכון לארגון בעקבות המעבר לשימוש בשירותי ענן הוא הקמת צוות ייעודי (CCOE – Cloud Center of Excellence), אשר יורכב מנציגי המחלקות השונות בארגון:

– צוות תשתיות
– צוות אבטחת מידע
– מחלקה משפטית
– צוות הפיתוח
– צוות התמיכה הטכנית
– נציג רכש / איש FinOps

תיאור מצב קיים בארגון

מסמך אסטרטגיית ענן צריך לסקור את המצב הקיים בארגון בכל הנוגע לשימוש בשירותי ענן:

– אילו שירותי ענן (SaaS) מיושמים כיום בארגון ולאילו צרכים?
– אילו לתשתיות ענן (IaaS / PaaS) מיושמות כיום בארגון? (סביבות פיתוח, סביבות בדיקה וכו')

תיאור מצב רצוי

מסמך אסטרטגיית ענן אמור לתאר היכן הארגון מעוניין להיות בעוד שנתיים עד חמש שנים מבחינת שימוש בשירותים מנוהלים, שירותי ענן, תשתיות ענן וכו'.

המסמך אמור לענות על השאלה – האם הארגון מעוניין להמשיך ולתחזק תשתיות בעצמו או להגר לשירותים מנוהלים בענן, האם להקים תשתית ענן פרטי, האם להגר את כלל היישומים והתשתיות לענן ציבורי או ליישם תשתית משולבת של סביבה מקומית עם תשתית ענן ציבורי (Hybrid cloud).

מסמך האסטרטגיה אמור להגדיר מדדים (KPI’s) למעבר מוצלח לשימוש בשירותי ענן.

אסטרטגיית יציאה (Exit Strategy)

מסמך אסטרטגיית ענן אמור לכלול פרק אשר יעסוק במענה לסיכון של נעילת ספק (Vendor lock-in) וכיצד פועלים במקרה בו הארגון בוחר להגר מערכת מתשתית ענן ציבורי בחזרה לסביבת ה-On Premise או אפילו בהגירת מערכות ונתונים בין ספקי ענן ציבורי (מסיבות של עלויות, תמיכה, יכולות טכנולוגיות, רגולציה וכו')

חשוב להתייחס לנושאים הבאים בעת חתימה על חוזה עם ספק הענן

– האם הארגון צפוי לשלם קנס בעקבות החלטה על סיום התקשורת עם ספק ענן?
– באיזה אופן ספק הענן ייצא נתונים מתשתית מנוהלת (SaaS) בחזרה לסביבת ה-On Premise (או לשירות ענן ציבורי אחר)?
– מה מחויבות ספק הענן לבצע מחיקת נתוני הארגון ולקוחותיו בעת סיום ההתקשרות?
– כמה זמן ימשיך ספק הענן לאחסן את נתוני הארגון ולקוחותיו (לרבות גיבויים ולוגים) לאחר סיום ההתקשרות?